Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=fortianalyzer-log-collector

Fortinet FortiAnalyzer (coletor de log)

Coletor de log Firewall

Você deve ter o pacote de licença de integrações "Firewall" para usar esse recurso.

Nota

Essa integração permite que os produtos FortiAnalyzer Appliance e VM Subscription encaminhem dados para a Sophos. No entanto, o FortiAnalyzer Cloud não pode encaminhar logs, incluindo eventos de segurança, portanto, não é compatível com essa integração. Consulte as Limitações do FortiAnalyzer Cloud.

Nota

Uma integração baseada em API do FortiAnalyzer também está disponível. Consulte Integrar o Fortinet FortiAnalyzer (API).

Você pode integrar o Fortinet FortiAnalyzer ao Sophos Central para que ele envie alertas de firewall à Sophos para análise.

Essa integração usa um coletor de log hospedado em uma máquina virtual (VM). Juntos, eles são chamados de dispositivo de integração. O dispositivo recebe dados de terceiros e os envia ao Sophos Data Lake.

Etapas principais

As principais etapas em uma integração são as seguintes:

  • Adicione uma integração deste produto. Nesta etapa, você cria uma imagem do dispositivo.
  • Baixe e implante a imagem na sua VM. Isso se torna o seu dispositivo.
  • Configure o FortiAnalyzer para enviar dados ao dispositivo.

Requisitos

Os dispositivos têm requisitos de acesso ao sistema e à rede. Para verificar se você os atende, consulte Requisitos do dispositivo.

Adicionar uma integração

Para adicionar a integração, siga este procedimento:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.

  2. Clique em Fortinet FortiAnalyzer (coletor de log).

    A página Fortinet FortiAnalyzer (coletor de log) é aberta. Você pode adicionar integrações aqui e ver uma lista daquelas que você já adicionou.

  3. Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Fornecer seus detalhes de domínio e IP.

    Etapas de configuração de integração aparece.

Configurar o dispositivo

Em Etapas de configuração de integração, você pode configurar um novo dispositivo ou usar um existente.

Presumimos aqui que você queira configurar um novo dispositivo. Para fazer isso, crie uma imagem da seguinte forma:

  1. Insira um nome de integração e uma descrição.
  2. Clique em Criar um novo dispositivo.
  3. Insira um nome e uma descrição para o dispositivo.
  4. Selecione a plataforma virtual. Atualmente, oferecemos suporte a VMware ESXi 6.7 Update 3 ou posterior e Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016) ou posterior.

  5. Especifique as configurações de IP das Portas de rede voltadas à Internet. Isso configura a interface de gerenciamento do dispositivo.

    • Selecione DHCP para atribuir o endereço IP automaticamente.

      Nota

      Se você selecionar DHCP, deverá reservar o endereço IP.

    • Selecione Manual para especificar suas configurações de rede.

  6. Selecione a Versão de IP do syslog e insira o endereço IP de syslog.

    Você precisará desse endereço IP de syslog mais tarde, ao configurar o FortiAnalyzer para enviar dados ao seu dispositivo.

  7. Selecione um Protocolo.

    Você deve usar o mesmo protocolo mais tarde ao configurar o FortiAnalyzer para enviar dados ao seu dispositivo.

  8. Clique em Salvar.

    Nós criamos a integração e ela aparece na sua lista.

    Nos detalhes de integração, você pode ver o número da porta do dispositivo. Você precisará dele mais tarde, ao configurar a FortiAnalyzer para enviar dados.

    Pode levar alguns minutos para que a imagem do dispositivo fique pronta.

Implantar o dispositivo

Restrição

Se estiver usando o ESXi, o arquivo OVA é verificado com o Sophos Central, portanto, ele só pode ser usado uma vez. Se você implementar outra VM, deve criar um arquivo OVA novamente no Sophos Central.

Use a imagem para implantar o dispositivo da seguinte forma:

  1. Na lista de integrações, em Ações, clique na ação de download para a sua plataforma, por exemplo, Baixar OVA para ESXi.
  2. Quando o download da imagem for concluído, implante-a em sua VM. Consulte Implantar dispositivos.

Configurar o FortiAnalyzer

Agora você configurar o FortiAnalyzer para enviar alertas ao dispositivo da Sophos na VM.

Nota

Você pode configurar várias instâncias do FortiAnalyser para enviar dados para a Sophos através do mesmo dispositivo. Depois de concluir a integração, repita as etapas nesta seção para suas outras instâncias do FortiAnalyser. Você não precisa repetir as etapas no Sophos Central.

Você pode configurar o encaminhamento de log no console do FortiAnalyzer da seguinte forma:

  1. Vá para System Settings > Log Forwarding.
  2. Clique em Create New.

  3. Na página Create New Log Forwarding, insira os seguintes detalhes:

    1. Nome: Insira um nome para o servidor, por exemplo, "Sophos appliance".
    2. Status: Defina como On.
    3. Remote Server Type: Selecione Common Event Format (CEF).
    4. IP do Servidor: Insira o endereço IP do seu dispositivo. Este é o endereço IP do syslog que você inseriu no Sophos Central.
    5. Porta do Servidor: Insira o número da porta que você definiu no Sophos Central.
    6. Reliable Connection: Ative esta opção para utilizar uma conexão TCP. Desative-a para usar uma conexão UDP. Ela deve corresponder ao protocolo que você definiu anteriormente no Sophos Central.
    7. Sending Frequency. Ignore esta opção. Ela é apenas para servidores FortiAnalyzer.
    8. Log Forwarding Filters: Recomendamos que você não aplique filtros ao FortiAnalyzer. A Sophos aplica filtragem no dispositivo.
    9. Clique em OK.

O dispositivo FortiAnalyzer começará a encaminhar logs para o dispositivo.